Con un recente provvedimento, il Garante per la protezione dei dati personali (“Garante” o “Autorità”) ha irrogato una sanzione di 120.000 euro nei confronti di una concessionaria per controllo illecito delle presenze dei dipendenti tramite riconoscimento facciale.
La vicenda e le violazioni riscontrate
L’intervento dell’Autorità è avvenuto a seguito di un reclamo presentato da un dipendente, che denunciava il trattamento non autorizzato dei dati personali tramite un sistema biometrico installato nelle due unità produttive del proprio datore di lavoro, ovverosia una concessionaria (la “Società”).
Il reclamo del dipendente sollevava anche preoccupazioni riguardo all’uso di un software gestionale da parte della Società, che richiedeva ai dipendenti di registrare dettagliatamente le riparazioni effettuate sui veicoli, i tempi e le modalità di esecuzione dei lavori, nonché i periodi di inattività con le relative motivazioni.
L’attività ispettiva condotta dal Garante ha rivelato le gravi violazioni del Regolamento UE 679/2016 (“GDPR”) con particolare riferimento al trattamento dei dati biometrici.
Infatti, l’uso del sistema biometrico è stato giustificato dalla Società con la necessità di migliorare la qualità e l’efficienza del servizio. Tuttavia, il Garante ha chiarito che il trattamento dei dati biometrici è generalmente vietato e può essere effettuato solo in specifiche circostanze previste dalla legge (art. 9, par. 2, del GDPR). Tali circostanze includono obblighi e diritti specifici in materia di lavoro, autorizzati dal diritto dell’Unione o degli Stati membri, con adeguate garanzie per i diritti fondamentali.
Quindi, secondo il Garante, la Società non ha dimostrato la necessità e proporzionalità del trattamento biometrico, violando così l’art. 9, par. 2, lett. b) del GDPR. Inoltre, il Garante ha ritenuto che l’informativa fornita ai dipendenti fosse incompleta, dato che non chiariva adeguatamente le caratteristiche del trattamento, le cautele adottate, e la possibilità di alternative al sistema biometrico, integrandosi così una violazione anche del principio di trasparenza.
Inoltre, con riferimento al software gestionale utilizzato dalla Società per creare report mensili destinati alla casa madre, le ispezioni hanno rilevato che tali report includevano dati aggregati sui tempi di lavoro delle officine, senza una base giuridica adeguata e senza fornire un’informativa chiara e trasparente ai dipendenti. Tuttavia, a fronte di reiterate richieste dell’Autorità di conoscere nel dettaglio le caratteristiche essenziali del gestionale utilizzato, la Società ha fornito riscontri molto generici ed evasivi senza consentire all’Autorità di avere piena contezza del trattamento effettuato, di conoscere la natura e la tipologia dei dati trattati, le modalità e i tempi di conservazione dei dati, e di valutarne l’effettiva necessità e proporzionalità rispetto alle finalità da perseguire. Tra l’altro, tali informazioni non sono state portate a conoscenza nemmeno dei dipendenti, ai quali è stata fornita un’informativa che risulta incompleta e inidonea a rappresentare compiutamente il trattamento effettuato. Pertanto, il Garante ha ritenuto tale pratica contraria ai principi di liceità, correttezza e trasparenza di cui agli artt. 5, par. 1, lett. a), 6 e 13 del GDPR.
Considerata la gravità delle violazioni, nonché l’atteggiamento poco collaborativo della Società nel corso dell’attività istruttoria, il Garante ha:
- inflitto alla Società una sanzione amministrativa pecuniaria di 120.000 euro; e
- ordinato di adeguare il trattamento dei dati effettuato tramite il software gestionale alle disposizioni della normativa sulla privacy.
Alcune considerazioni per le aziende
Questa recente decisione del Garante evidenzia l’importanza di rispettare i principi privacy nel contesto lavorativo, soprattutto in relazione ai dati sensibili come quelli biometrici. In particolare, l’Autorità ha ribadito che il trattamento di dati biometrici deve essere strettamente necessario, proporzionato e supportato da adeguate garanzie per tutelare i diritti e gli interessi fondamentali dei dipendenti.
L’adozione di tecnologie biometriche sul posto di lavoro deve essere quindi gestita con grande attenzione, rispettando rigorosamente i principi di necessità, proporzionalità e implementando adeguate garanzie. I datori di lavoro devono essere consapevoli delle implicazioni privacy e assicurarsi che ogni trattamento di dati biometrici sia giustificato e protetto da misure di sicurezza adeguate, fornendo al contempo una trasparente informativa ai dipendenti e valutando sempre soluzioni meno invasive.
Su questo tema potrebbe interessarvi quindi il seguente articolo “Il Garante Privacy prende una posizione netta in relazione al trattamento dei dati biometrici”.